歐洲刑警組織剛剛破獲一起涉嫌入侵汽車的黑客行動(dòng)�,但針對(duì)車輛的網(wǎng)絡(luò)威脅才剛剛拉開序幕��。
歐洲執(zhí)法機(jī)構(gòu)本周一宣布�����,歐洲刑警組織剛剛搗毀了一個(gè)專門入侵汽車無鑰匙解鎖系統(tǒng)的黑客團(tuán)伙�����,逮捕31名嫌疑人并沒收超過100萬美元(約人民幣775萬元)的犯罪資產(chǎn)���。
歐洲刑警組織稱��,“該犯罪團(tuán)伙專門以支持無鑰匙進(jìn)入及啟動(dòng)系統(tǒng)的車輛為目標(biāo)��,濫用該技術(shù)將汽車開走�。他們使用的欺詐工具原本被作為汽車診斷解決方案銷售�����,可用于替換車輛的原始軟件����,能夠在未拿到車鑰匙的情況下打開車門并啟動(dòng)點(diǎn)火裝置?!?
專家指出,針對(duì)無鑰匙車輛的盜竊難度甚至比傳統(tǒng)偷車方法更低����,畢竟傳統(tǒng)偷車賊還要學(xué)習(xí)仿配機(jī)械鑰匙和對(duì)線打火的技術(shù)。而且除盜竊之外��,還有其他網(wǎng)絡(luò)威脅在對(duì)汽車虎視眈眈。2015年��,已經(jīng)有安全研究人員成功以遠(yuǎn)程方式令行駛在高速公路上的吉普車(Jeep)熄火��。
在這個(gè)聯(lián)網(wǎng)程度日益提升的行業(yè)中����,電動(dòng)汽車與自動(dòng)駕駛汽車正逐漸拓展更大的商業(yè)版圖。由于政府尚未做出明確要求����,由此引發(fā)的安全風(fēng)險(xiǎn)在短時(shí)間內(nèi)恐怕不會(huì)消退。(據(jù)估計(jì)���,去年全美公路上共行駛著8400萬輛聯(lián)網(wǎng)汽車��。)
網(wǎng)絡(luò)安全公司ExtraHop服務(wù)主管Rafal Los表示�����,“如今的汽車正逐漸發(fā)展成帶輪子的計(jì)算機(jī)���,因此來自攻擊方的威脅也愈發(fā)嚴(yán)峻。”
當(dāng)然����,也已經(jīng)有人在采取應(yīng)對(duì)措施���。網(wǎng)絡(luò)專家表示����,在里程碑式的Jeep黑客事件之后����,汽車行業(yè)已經(jīng)著手改善車輛的網(wǎng)絡(luò)安全水平。美國國家公路交通安全管理局在9月還更新了2016年發(fā)布的關(guān)于車輛網(wǎng)絡(luò)安全的指南��。當(dāng)然��,專家們也承認(rèn)單憑這些還遠(yuǎn)遠(yuǎn)不夠���。
盜竊狂潮
由于各地執(zhí)法部門向FBI提交的數(shù)據(jù)減少�,全美犯罪統(tǒng)計(jì)數(shù)據(jù)的可靠性已經(jīng)大不如前��,但仍有跡象表明����,近年來汽車盜竊案件有所增加���。
今年7月,參議員Edward J. Markey曾給汽車制造商寫信道���,“自1990年代以來���,允許用戶無需機(jī)械鑰匙即可打開車門、啟動(dòng)車輛的無鑰匙進(jìn)入系統(tǒng)曾經(jīng)是降低車輛盜竊率的利器��。但在隨后的30年中����,情況開始急轉(zhuǎn)直下。雖然引發(fā)這種轉(zhuǎn)變的確切原因尚不明確��,但越來越多的證據(jù)表明��,無鑰匙進(jìn)入系統(tǒng)可能正是導(dǎo)致情況惡化的一項(xiàng)因素�����?���!?
不過�����,行業(yè)組織汽車創(chuàng)新聯(lián)盟對(duì)Markey的說法回應(yīng)稱�����,無鑰匙系統(tǒng)其實(shí)增強(qiáng)了安全水平。該行業(yè)組織還贊揚(yáng)了其他圍繞無鑰匙設(shè)計(jì)的安全措施��,例如允許車主手動(dòng)停用遙控鑰匙功能����。
聯(lián)盟事務(wù)副總裁Garrick Francis寫道,“緩解盜竊問題是一項(xiàng)需要持續(xù)推進(jìn)的努力�����,而規(guī)定性要求通常是創(chuàng)新探索的障礙�����。汽車制造商在設(shè)計(jì)���、評(píng)估和實(shí)施無鑰匙進(jìn)入系統(tǒng)的安全功能時(shí)����,必須擁有充分的靈活性,這樣汽車行業(yè)才能快速響應(yīng)種種可能影響車主的新問題����。”
盡管如此����,研究人員已經(jīng)用實(shí)例反復(fù)證明了,自己成功入侵車輛����、開啟發(fā)動(dòng)機(jī)的能力,近幾個(gè)月來特斯拉�����、本田汽車均已相繼淪陷�����。
CanBusHack公司總裁兼Def Con安全大會(huì)Car Hacking Village創(chuàng)始人Robert Leale表示���,“有些汽車公司的安全措施簡直可笑�����。只要想辦法入侵了一輛車���,往往就能入侵同品牌旗下的所有車型�?����!?
直接熄火
遠(yuǎn)程熄火引發(fā)的危險(xiǎn)后果無疑更加令人心驚�����。雖然發(fā)生頻率相對(duì)較低��,或者單純發(fā)生在實(shí)驗(yàn)環(huán)境下�����,但卻直接關(guān)乎使用者的生命安全:
-
一名心懷不滿的前得克薩斯汽車中心雇員����,據(jù)稱曾在2010年利用收回軟件遠(yuǎn)程禁用了100多名司機(jī)的車輛。
-
在2015年的黑客攻擊中��,研究人員成功切斷了Jeep汽車的變速箱和剎車��,開啟收音機(jī)并打開了前雨刷器���。此次事件也讓克萊斯勒公司首次��、也是唯一一次以網(wǎng)絡(luò)安全為由召回了140萬輛汽車��。同一批研究人員還在召回之后再次嘗試黑客攻擊��,旨在進(jìn)一步做出漏洞驗(yàn)證��。
-
前白宮網(wǎng)絡(luò)官員Richard Clarke表示��,2013年記者M(jìn)ichael Hastings的死亡“很可能與汽車網(wǎng)絡(luò)攻擊有關(guān)”��,但驗(yàn)尸官的報(bào)告和Hastings家人的證詞排除了這種可能性�����。
行動(dòng)了�,但沒完全行動(dòng)
雖然聯(lián)合國和歐洲已經(jīng)著力推進(jìn)關(guān)于車輛的網(wǎng)絡(luò)安全規(guī)則�����,但美國在這方面卻一直表現(xiàn)得比較遲鈍。去年����,兩黨基礎(chǔ)設(shè)施法案確實(shí)引入了一項(xiàng)要求聯(lián)邦公路管理局設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)員的規(guī)定。白宮方面本月還啟動(dòng)一項(xiàng)為安全“物聯(lián)網(wǎng)”設(shè)備添加標(biāo)簽的倡議��,但先期主要針對(duì)路由器和攝像頭����。
Leale稱,目前汽車制造商還沒有充分的經(jīng)濟(jì)動(dòng)力���,去主動(dòng)實(shí)施防盜措施。
“他們通常不想增加成本�,并且盜竊對(duì)汽車廠商其實(shí)沒什么影響。此類事件影響到的更多是用戶和保險(xiǎn)公司�。”
草根數(shù)字安全倡議I Am the Cavalry創(chuàng)始人Joshua Corman表示���,他們?cè)?jīng)在2014年推出過汽車網(wǎng)絡(luò)安全的“五星級(jí)”計(jì)劃����,其中一些已經(jīng)得到業(yè)界接納,例如為上報(bào)bug的研究人員提供激勵(lì)措施����。
網(wǎng)絡(luò)安全廠商Claroty的網(wǎng)絡(luò)和物理安全副總裁Corman表示,“當(dāng)我們發(fā)布這項(xiàng)「五星級(jí)」計(jì)劃時(shí)�����,還沒有任何一家汽車廠商能夠滿足全部五點(diǎn)要求����。而且時(shí)至今日,仍然沒有哪家廠商能夠滿足全部五點(diǎn)要求���。所以現(xiàn)在的問題是�����,我們能是否能拿出充分的政治意愿���,采取足夠積極的行動(dòng)來適應(yīng)這種威脅形勢(shì)?”
